<31322E20C0CCC7FCBFECB4D42E687770>

Size: px

Start display at page:

Download "<31322E20C0CCC7FCBFECB4D42E687770>"

주일 왕
3 years ago
Views:

1 479 Journal of The Korea Institute of Information Security & Cryptology(JKIISC) ISSN (Print) VOL.23, NO.3, June 2013 ISSN (Online) 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 * 이형우 한신대학교컴퓨터공학부 Android based Mobile Device Rooting Attack Detection and Response Mechanism using Events Extracted from Daemon Processes* Hyung-Woo Lee School of Computer Engineering, Hanshin Universityy 요 약 최근삼성갤럭시노트및갤럭시탭 10.1 등안드로이드기반상용모바일단말을대상으로정상어플리케이션인것처럼오픈마켓에배포된악성어플리케이션에의한공격들이급증하고있다. 공격자는정상적인어플리케이션에악성코드를삽입하여상용모바일단말에대한루팅 (Rooting) 공격을수행한후, 단말내저장된사용자의 SMS, 전화번호부등개인정보와공인인증서등과같은금융정보를외부서버로유출시키는공격을수행하게된다. 따라서상용모바일단말에대한악성코드감염여부를판별하고루팅공격을탐지및대응하기위한기법이필요하다. 이에본논문에서는안드로이드기반상용모바일단말에대한루팅공격기법에대해분석하고이를토대로모니터링데몬 (Daemon) 을이용하여상용단말내공격이벤트를추출및수집하여악성어플리케이션으로인한공격에능동적으로대응하는기법을제시하였다. ABSTRACT Recently, the number of attacks by malicious application has significantly increased, targeting Android-platform mobile terminal such as Samsung Galaxy Note and Galaxy Tab The malicious application can be distributed to currently used mobile devices through open market masquerading as an normal application. An attacker inserts malicious code into an application, which might threaten privacy by rooting attack. Once the rooting attack is successful, malicious code can collect and steal private data stored in mobile terminal, for example, SMS messages, contacts list, and public key certificate for banking. To protect the private information from the malicious attack, malicious code detection, rooting attack detection and countermeasure method are required. To meet this end, this paper investigates rooting attack mechanism for Android-platform mobile terminal. Based on that, this paper proposes countermeasure system that enables to extract and collect events related to attacks occurring from mobile terminal, which contributes to active protection from malicious attacks. Keywords: Android, Mobile Device, Rooting Attack, Rootkit, Event Extraction, Attack Detection 접수일 (2013 년 2 월 22 일 ), 수정일 (2013 년 4 월 11 일 ), 게재확정일 (2013 년 5 월 2 일 ) * 본연구는 2012 년도한국연구재단의지원을받아수행된기초연구사업임 (No. 2012R1A1A ) 주저자, hwlee@hs.ac.kr 교신저자, hwlee@hs.ac.kr(corresponding author)

2 480 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 I. 서론최근삼성갤럭시노트 I(Samsung Galaxy Note I) 및갤럭시탭 10.1(Samsung Galaxy Tab 10.1) 등상용모바일단말에서악성코드를내포해서정상어플리케이션인것처럼배포된악성어플리케이션을이용한다양한공격들이증가하고있다. 특히, 공격자가악성어플리케이션에악성코드를삽입하여루팅 (Rooting) 공격을수행한후상용모바일단말내저장된사용자의 SMS, 전화번호부, 공인인증서등과같은개인정보및금융정보를외부서버로유출시키는공격으로인해사회적으로큰문제점으로대두되고있다 [1,2,3]. 이러한악성어플리케이션의확산을막기위해서안드로이드기반모바일단말내루팅프로그램을분석하고악성어플리케이션들의특성을분석할필요가있다. 이를통해상용모바일단말을대상으로악성어플리케이션에대응할수있는환경을제공할수있을것으로기대된다. 본연구에서는우선상용모바일단말에서구동되는악성어플리케이션에대해살펴보고내부작동방식을분석하였다. RageAgainstTheCage 루트킷 [4] 을이용하여모바일단말에대한관리자권한을불법적으로획득하는모듈이처음공개된이후 GingerBread API를기반으로발전한 Ginger- Break 루트킷 [5] 구조에대해분석하고이를변형한 GingerMaster[6,7] 등의악성루팅모듈이최근발견되었다. 루팅모듈이포함된악성어플리케이션이단말에설치되어실행될경우사용자도모르게단말내에저장된개인정보등이외부로유출될수있다. 이에실험용으로루트킷 (Rootkit) 을개발하여상용모바일단말에대한보안취약성을분석하였으며직접상용단말을대상으로악성어플리케이션을개발하여단말내부에포함된인증서를외부로유출하는것이가능하다는것을알게되었다. 이와같은보안취약성에대응하기위해서리눅스커널기반안드로이드플랫폼에서발생하는이벤트를수집하기위한데몬프로세스를생성하였다. 개발한데몬프로세스를이용하여단말에서발생하는각종이벤트정보를백그라운드형태로획득및수집할수있었다. 수집된이벤트정보에는단말내에정상적인어플리케이션이구동하면서발생하는정상적인이벤트도있으나, 악성어플리케이션에의해서발생하는공격이벤트역시존재하게된다. 따라서본연구에서는정상어플리케이션으로위장한악성어플리케이션에의해서시도되는루팅 공격이수행되는과정에서발생하는이벤트에대한추출및수집과정을통해상용모바일단말에대한보안취약성에능동적으로대응할수있는방법을제시하였다. 본논문의구성은다음과같다. 2장에서안드로이드기반모바일단말에대한루팅과정을분석하였으며루팅을통한모바일단말공격어플리케이션을살펴보았다. 3장에서는상용모바일단말에대한보안취약성을분석하기위해실험용악성어플리케이션을개발하여단말내저장된개인정보및금융정보에대한유출문제점을분석하였다. 4장에서는이와같은공격에대한대응방안으로데몬프로세스 (Daemon Process) 를기반으로단말내에서발생하는이벤트에대한추출시스템에대한구현및실험결과를제시하였다. II. 모바일단말루팅과정분석루팅이란안드로이드플랫폼을탑재한모바일단말에서관리자권한을획득하는것으로리눅스환경에서안드로이드플랫폼의최고권한계정인루트계정을획득해모든파일과프로그램에접근할수있는과정을의미한다. 상용모바일단말에대한공격기법을분석하기위해기존에발견된루트킷기반루팅공격에대해서분석하고최근에발견된안드로이드기반악성어플리케이션의내부구조를분석해서상용모바일단말의보안의취약점을제시하고자한다. 우선모바일단말사용자자신이직접단말에대한루팅과정을수행하는과정에대해살펴보면다음과같다. 2.1 사용자에의한모바일단말루팅방식 공개된루팅어플리케이션안드로이드는리눅스운영체제를기반으로하기때문에일반적으로일반사용자는모바일단말에대한관리자권한을획득할수없다. 하지만, 안드로이드기반모바일단말에대해사용자자신이직접루팅과정을수행할경우자신의모바일단말에대해신규폰트추가및수정, 프로세스성능향상및모바일단말사용자인터페이스에대한변경등의작업을수행할수있다. 이와같이단말사용자에의해능동적으로모바일단말에대한관리자권한을획득할수있는루팅프로

정보보호학회논문지 (2013. 6) 481 그램으로는 SuperOneClick, Universal Androot 및 Z4root 등이있다. 이들어플리케이션은모바일단말사용자가직접단말에대한관리자권한을획득하기위해사용하는선의의루팅어플리케이션에해당한다. 예를들어 SuperOne Click 인경우 Microsoft.NET Frame work 2.

이제모바일단말을재부팅한후모바일단말내에추가로설치된 Superuser 어플리케이션을실행하여관리자권한을획득하게된다. 다른루팅어플리케이션인경우 SuperOneClick 과유사한방식으로진행된다. 2.1.2 갤럭시탭 10.1에대한루팅과정삼성갤럭시탭 10.1에대한루팅과정은단말내부시스템구조등의변경으로인해수동적인형태로수행할수있다.

사용자는 Tegrak Kernel 을기존의상용모바일단말에추가적으로설치하여정식펌웨어의시스템파일과기능은그대로를유지하면서도단말시스템내부에대한변경및추가적인모듈에대한설치가가능한방식이다. Tegrak Kernel 을설치하기위해서는우선삼성통합 USB 드라이버를설치한후에 Odin3 소프트웨어를설치한다.

3 정보보호학회논문지 ( ) 481 그램으로는 SuperOneClick, Universal Androot 및 Z4root 등이있다. 이들어플리케이션은모바일단말사용자가직접단말에대한관리자권한을획득하기위해사용하는선의의루팅어플리케이션에해당한다. 예를들어 SuperOne Click 인경우 Microsoft.NET Frame work 2.0 이상의환경에서작동되며, 거의모든모바일단말에대한루팅과정및언루팅 (un-rooting) 과정을지원하지만반드시 PC와연동되어구동된상태에서모바일단말에대한관리자권한을획득하게된다 [8,9,10]. 실행과정은다음과같다. 우선 USB를이용하여모바일단말과 PC를연결한후에 SuperOneClick 프로그램을실행시켜 Root 버튼을클릭한다. 이제모바일단말을재부팅한후모바일단말내에추가로설치된 Superuser 어플리케이션을실행하여관리자권한을획득하게된다. 다른루팅어플리케이션인경우 SuperOneClick 과유사한방식으로진행된다 갤럭시탭 10.1에대한루팅과정삼성갤럭시탭 10.1에대한루팅과정은단말내부시스템구조등의변경으로인해수동적인형태로수행할수있다. 단말장치에있는 Volume Down 버튼과 Power Button 을동시에눌러모바일단말에대한복원모드 (Recovery mode) 로진입한후에상용단말에대한루트킷모듈을실행한다. 이후루팅과정은 [ 그림 1] 과같이기존루팅프로그램과동일하게모바일단말내 Superuser 어플리케이션이설치되며 adb shell 을통해루팅여부를확인할수있다 갤럭시노트 I에대한루팅과정갤럭시노트 I 상용모바일단말에대한루팅과정을수행하기위해서는 Tegrak Kernel 을설치해야한다. 사용자는 Tegrak Kernel 을기존의상용모바일단말에추가적으로설치하여정식펌웨어의시스템파일과기능은그대로를유지하면서도단말시스템내부에대한변경및추가적인모듈에대한설치가가능한방식이다. Tegrak Kernel 을설치하기위해서는우선삼성통합 USB 드라이버를설치한후에 Odin3 소프트웨어를설치한다. Odin3 는시스템펌웨어를사용자가직접바꿀수있는기능을제공하는프로그램이다. 이제상용단말에대한버전및빌드번호를확인한후에 Odin3 소프트웨어를이용하여각각의모바일단말에해당하는 Tegrak Kernel 을설치하게된다. 아래그림과같이 Odin3를통해서갤럭시노트 I에대한커널업그레이드과정을수행하게된다. 구체적인과정을살펴보면다음과같다. 상용모바일단말의 sdcard 부분에 tegrak/update/ 폴더를생성한후폴더내 Tegrak-Kernel-Build*.zip 파일을복사한후이를실행하고 [ 그림 2] 와같이 Odin3 를구동하여 PDA 버튼부분에서 Tegrak-Kernel-Build*.recovery.tar 파일을실행하면갤럭시노트 I에대한복원모드로진입하게된다. 복원모드진입후아래그림과같이 sdcard 부분에설치된 Tegrak Kernel 모듈을실행하게된다. Tegrak Kernel 프로그램은루팅및언루팅기능 [ 그림 1] 갤럭시탭 10.1 에대한루팅실행및확인 [ 그림 2] 상용모바일단말내 Tegrak Kernel 실행과정

4 482 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 을제공하며시스템성능향상을위한오버클럭 (Over clock) 기능도포함하고있어상용단말에대한루팅공격에사용될수있다. 2.2 공격자에의한모바일단말루팅방식 팅을할경우원상복구가되며, 영구적인루팅은사용자가언루팅과정을수행해야만복구가된다. GingerBreak 에서는영구적인루팅을제공하고있으며, 임시적인루팅과영구적인루팅은 su 파일의시스템폴더복사유무로구분된다 RageAgainstTheCage 및 GingerBreak 기법앞에서제시한내용과같이모바일단말소유자에의해직접실행되는루팅모듈은악의적인모바일어플리케이션에포함되어단말내중요개인정보등을외부로유출하는과정에악용될수있다. 안드로이드기반모바일단말에대해루팅과정을통해관리자권한을획득하기위해원시적코드로널리알려진것이 RageAgainstTheCage 방식 [4] 이다. 이방식은 C 언어기반 NDK 방식으로모바일악성어플리케이션에포함되어모바일단말에대한관리자권한을획득하는과정을수행한다. 사용자가 RageAgainstTheCage 루트킷 (Rootkit) 을내포한악성어플리케이션을설치및실행하면, Cross Compile 된 Binary 형태의악성코드파일을안드로이드기기에복사한후 chmod 명령어를이용하여단말내부특정폴더에대한접근권한을변경하고리눅스쉘 (Linux Shell) 을통해 400회이상의 fork() 명령어를실행하여프로세스를생성한다. 이후리눅스커널내버퍼오버플로우 (Buffer overflow) 에의해더이상프로세스를실행할수없으면리눅스쉘이강제로종료되고이후쉘에접속할때단말커널에대한관리자권한을획득하는방식이다. 하지만이와같이 Fork() 함수를이용하여프로세스복제를수행한후에관리자권한을획득하는기존의 RageAgainstTheCage 방식은안드로이드운영체제 2.3버전인 GingerBread 로업데이트되면서취약점이수정 / 보완되었으나, GingerBreak 라는새로운방식의루트킷이등장하게된다. GingerBreak 루트킷 [5] 은리눅스쉘에서 init 프로세스에의해실행되는메시지에대해후킹 (Message hooking) 방식을통해관리자권한을획득하게된다. GingerBreak 는기존변조된 su파일을내포하고있으며, 이를시스템폴더에복사함으로써영구적인루팅을수행하게된다. 루팅기법은임시적인루팅및영구적인루팅으로분류될수있다. 임시적인루팅은언루팅과정없이루팅후시스템재부 GingerMaster 기법 GingerMaster 루트킷방식 [5] 은 Ginger- Break 방식과유사하나루팅후수행되는과정에서기존의 GingerBreak 방식보다많은정보를외부로유출, 전송하는기능을제공한다고알려져있다. 주요작동방식및구조는 GingerMaster[6,7] 와유사한것으로알려져있다. 안드로이드 2.3을대상으로하는루트킷으로기존바이러스스캔도구들에서검출되지않는강력한악성소프트웨어라고할수있다. GingerMaster 는일반적인앱에은닉 / 포함되어백그라운드형태로추가적인기능을구동시키고, 안드로이드단말내사용자정보를수집한뒤에특정외부서버로정보를전송하는기능을포함하고있다. GingerMaster 루트킷방식은 gbfm.png 라는파일이름으로포함되어안드로이드단말에대한루트권한을획득하게된다. GingerMaster 는루트권한을획득한이후에공격자가지정한서버에저장된악성코드를안드로이드단말내부로다운로드하도록유도한후단말내주요개인정보등을외부로전송하는기능에적용될수있다. 앞에서제시한루트킷기반루팅과정을수행하게되면안드로이드사용자는단말내기본시스템구조에대한변경등을수행할수있다. 또한안드로이드단말내키패드위치등을수정하거나, 단말내설치된앱등에대해자유롭게수정 / 삭제또는변경등의과정을수행할수있다. 또한앞에서제시한바와같이더욱더문제가되는것은루팅공격이발생하였을경우단말내에저장된개인정보등이사용자도모르게외부로유출될수있다는단점이있다. 단말내연락처정보, SMS 송수신내역그리고웹페이지접속기록등이외부로유출될수있다는문제점등으로인해루팅공격은매우심각한문제를야기할수있다. 이와같이모바일단말을대상으로한루트킷을포함한악성어플리케이션에대해살펴보면다음과같다.

정보보호학회논문지 (2013. 6) 483 2.3 안드로이드기반모바일단말악성앱분석안드로이드플랫폼을대상으로알려진악성앱중에서대표적인것을중심으로살펴보면다음과같다.

XML 로설정된파일을다운로드한후에파일내인코딩된특정번호로메시지를지속적으로전송해서과도한요금이발생하도록유도한다. 하지만이런과정에대해단말사용자가인지하지못하도록하기위해악성앱에의해송신된메시지는자동으로삭제하는기능도포함되어있다.

5 정보보호학회논문지 ( ) 안드로이드기반모바일단말악성앱분석안드로이드플랫폼을대상으로알려진악성앱중에서대표적인것을중심으로살펴보면다음과같다. 첫번째로, DroidOS/Spitmo 트로이목마 (SpyEye) 는 [ 그림 3] 과같이은행어플리케이션에악성코드를삽입하여구매자에게다운로드를유도한다음에상용모바일단말에설치한후특정숫자로전화걸기를유도하여과금을발생시키는방식이다. 활성화된악성코드로인해트로이목마가설치되면단말내 SMS 기록을탈취해서공격자가지정한 C&C 서버로전송하는기능을포함하고있다 [11,12,13]. XML 로설정된파일을다운로드한후에파일내인코딩된특정번호로메시지를지속적으로전송해서과도한요금이발생하도록유도한다. 하지만이런과정에대해단말사용자가인지하지못하도록하기위해악성앱에의해송신된메시지는자동으로삭제하는기능도포함되어있다. [ 그림 4] DroidDeluxe 악성어플리케이션 [ 그림 3] DroidOS/Spitmo 트로이목마 (SpyEye) 두번째로, [ 그림 4] 와같은 DroidDeluxe 앱인경우루트권한을획득하는악성코드가포함된악성어플리케이션으로, 실행시에제조사, 모델명, 각디바이스정보등상용모바일단말에관련된내부정보를수집해서특정구글계정 (UA ) 으로전송한다. 악성앱이실행되면상용모바일단말내개인정보관련파일에대해읽기및쓰기가가능하도록접근모드를변경하여중요개인정보가외부로유출된다 [14]. 세번째로, BaseBridge 앱인경우안드로이드 2.3 이전의버전에존재하는취약점을이용한방식으로, 앱이실행될경우원격서버에접속해서상용모바일단말의 IMSI(International Mobile Subscriber Identity), OS 내부설정정보등을전송한다. 또한, SMS 관련송수신정보를외부로유출시키며특정 SMS를삭제하는기능을포함하고있다. 마지막으로는, CruiseWind 앱인경우 SMS를재전송하는악성코드가내재되어있으며사용자도모르게 FlashService 가자동으로설치되어원격서버와통신하는기능을포함하고있다. 원격서버로부터 이밖에도 SimpleEpo, Hexbot, BullMoose 등다양한형태의악성앱이존재한다. SimpleEpo 는트로이목마형태의악성어플리케이션이며, Hexbot 악성앱인경우정상적인웹서버에내에제공되는 HTML 파일에공격코드가포함된자바스크립트를자동으로삽입하는기능을포함하고있다. Bull- Moose는 Hexbot 과유사한공격을수행하는악성어플리케이션으로, Hexbot의변종된악성어플리케이션이라고볼수있다. 악성어플리케이션의세부기능및작동방식을보다구체적으로살펴보면다음과같다. III. 상용모바일단말루팅공격앱분석상용모바일단말에대한보안취약점을분석하기위해단말에대한루팅과정수행후개인정보및금융정보를외부로유출시키는실험용악성어플리케이션을개발및구현하였다. 실험용으로개발한악성어플리케이션은대부분의안드로이드플랫폼기반상용모바일단말을대상으로구현하였다. 3.1 실험용악성앱 Andoku 본연구에서는실험용으로 BinBreak 라는루트킷을개발하여단말내저장된개인정보등을외부로유출하는과정을수행토록하였다. 실험용으로개발된

484 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 악성어플리케이션을이용하여상용모바일단말에서의보안취약성에대해분석하는과정을수행하였다.

또한단말내전화번호부와웹접속기록등 SQLite DB 내에저장된정보를외부서버로전송하는기능을포함하고있도록실험용으로개발하였다.

Spoofing 하는방식으로구동된다. 본연구에서는상용단말에대한보안취약성을분석하기위해 BinBreak 루트킷을포함한악성어플리케이션인악성 Andoku 앱 ([ 그림 6]) 을개발하였다.

아래그림과같이최근일반사용자가많이사용하는스도쿠 (Sudoku) 응용어플리케이션의일종으로 Andoku 라는이름의어플리케이션을개발하였으며, 게임재개 부분을누르게되면응용프로그램에포함되어있는루트킷 BinBreak

[ 그림 6] BinBreak 루트킷을포함한악성 Andoku 앱 안드로이드기반상용모바일단말에사용자가악성 Andoku 앱을실행하게되면내부에포함된 BinBreak

6 484 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 악성어플리케이션을이용하여상용모바일단말에서의보안취약성에대해분석하는과정을수행하였다. 본연구에서개발한 BinBreak 루트킷은이를포함한악성어플리케이션이시작될경우단말에대한관리자권한을획득하고, 이를이용하여단말내에저장된공인인증서저장폴더를압축하여서버로전송하는기능을제공한다. 또한단말내전화번호부와웹접속기록등 SQLite DB 내에저장된정보를외부서버로전송하는기능을포함하고있도록실험용으로개발하였다. BinBreak 에서의루팅과정은 [ 그림 5] 와같이모바일단말에대해관리자권한을획득하기위해사용되는모듈로써안드로이드내의리눅스커널에서수행되는 Volume Daemon을통하여 NetLink- Message 를 Spoofing 하는방식으로구동된다. 본연구에서는상용단말에대한보안취약성을분석하기위해 BinBreak 루트킷을포함한악성어플리케이션인악성 Andoku 앱 ([ 그림 6]) 을개발하였다. 악성 Andoku 앱인경우 Tegrak Kernel 을기반으로상용모바일단말에대한루팅기능을제공하며상용모바일단말내저장된정보에대한외부유출여부를확인하는목적으로사용하였다. 아래그림과같이최근일반사용자가많이사용하는스도쿠 (Sudoku) 응용어플리케이션의일종으로 Andoku 라는이름의어플리케이션을개발하였으며, 게임재개 부분을누르게되면응용프로그램에포함되어있는루트킷 BinBreak 가자동으로구동되는방식이다. [ 그림 6] BinBreak 루트킷을포함한악성 Andoku 앱 안드로이드기반상용모바일단말에사용자가악성 Andoku 앱을실행하게되면내부에포함된 BinBreak 모듈이사용자도모르게실행되면서단말에대한관리자권한을획득하게된다. 루팅과정을수행한후에는전화번호부, SMS 목록및인터넷접속기록등상용모바일단말내에저장된개인정보를외부로유출하는기능을포함하고있다. 또한사용자 [ 그림 5] BinBreak 루팅흐름도 BinBreak 를통한루팅과정을살펴보면처음루팅프로세스가시작되면 /proc/net/netlink 라는파일을통하여현재실행중인프로세스들의 ID를받아와 /proc/<pid>/cmdline 파일을통하여 Volume- Daemon 의 PID를찾는다. 그다음 /etc/vold.fstable (Volume Daemon의 File System Table) 을통하여 Device 정보를찾은후 Volume Daemon 의 PID를이용하여소켓을연결시킨후특정메시지를보내루트권한을획득한다. [ 그림 7] 악성 Andoku 앱에포함된단말내개인정보압축및전송모듈

정보보호학회논문지 (2013. 6) 485 가모바일단말을통해서금융서비스를이용할경우단말내에저장되어있는공인인증서를공격자가지정한외부서버로압축하여전송하는기능을포함하고있다.

안드로이드기반상용모바일단말내에저장된개인정보를압축한후에외부로전송하기위해아래 [ 그림 8] 과같은 ZipCompress 클래스를추가로개발하여보다효율적인압축전송기능을제공할수있도록구현하였다.

앱을실행하였을경우 [ 그림 9] 와같이어플리케이션에포함된 ZipCompress 클래스를이용하여단말내개인정보가외부서버로전송되는것을확인할수있다. 또한단말내 SQLite 에저장된개인정보도외부서버로송신되는것을확인할수있었다.

7 정보보호학회논문지 ( ) 485 가모바일단말을통해서금융서비스를이용할경우단말내에저장되어있는공인인증서를공격자가지정한외부서버로압축하여전송하는기능을포함하고있다. 다음 [ 그림 7] 과같이악성 Andoku 앱을실행하였을경우단말내저장된개인정보를수집하여이를압축하고외부로전송하는과정이수행되는것을확인할수있다. 안드로이드기반상용모바일단말내에저장된개인정보를압축한후에외부로전송하기위해아래 [ 그림 8] 과같은 ZipCompress 클래스를추가로개발하여보다효율적인압축전송기능을제공할수있도록구현하였다. [ 그림 9] 사용자단말로부터서버로전송된정보확인 [ 그림 10] 사용자단말로부터서버로전송된전화번호부목록확인 [ 그림 8] 악성 Andoku 앱에포함된 ZipCompress 클래스내 zipentry 메소드 실험용악성 Andoku 앱을통한개인정보유출악성 Andoku 앱을실행하였을경우 [ 그림 9] 와같이어플리케이션에포함된 ZipCompress 클래스를이용하여단말내개인정보가외부서버로전송되는것을확인할수있다. 또한단말내 SQLite 에저장된개인정보도외부서버로송신되는것을확인할수있었다. 상용모바일단말내에생성및보관되고있는 DB 내부테이블구조를살펴보면 [ 그림 10] 과같이이름과전화번호및웹접속정보등을포함하고있다. 따라서악성 Andoku 앱을실행하면사용자도모르게내부인터넷접속기록과폰내부에저장된전화번호부목록등을외부서버로전송하게된다. 또한상용모바일단말내에서구동되고있는패키지정보등도 외부서버에전송할수있는기능이포함되어있다. 또한, 상용모바일단말내에실행되고있는어플리케이션을클릭하면 [ 그림 11] 과같이사용자도모르게전화번호부목록과웹서버접속기록등이외부서버로전송되는것을확인할수있었다. 마지막으로 [ 그림 12] 와같이단말내에저장된사용자의공인인증서를외부서버로압축하여전송되는 [ 그림 11] 사용자단말로부터서버로전송된전화번호부목록및웹정보확인

대표적인데몬프로세스로는 USENET 에뉴스를전달하기위한데몬인 nntpd, 시스템에로그인한사용자의정보를제공하는 fingerd, 웹서버기능을제공하는 httpd 및부트서버기능을하기위한데몬인 bootpd 등이있다.

8 486 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 [ 그림 12] 공인인증서유출및 SQLite DB 정보확인것을확인할수있었으며단말내 SQLite DB 내에저장된정보를외부서버에서확인할수있었다. 이와같이상용모바일단말에악성어플리케이션이설치되어실행될경우내부에포함된루트킷이실행되어관리자권한을불법적으로획득한후에단말내저장된개인정보등이외부로손쉽게송신될수있다는취약점이발견되었으며이에대한능동적대응기술에대한연구가필요하다는것을확인할수있었다. 형태로특정목적의기능을수행하는프로세스로운영체제가종료될때까지실행상태를유지한다. 대표적인데몬프로세스로는 USENET 에뉴스를전달하기위한데몬인 nntpd, 시스템에로그인한사용자의정보를제공하는 fingerd, 웹서버기능을제공하는 httpd 및부트서버기능을하기위한데몬인 bootpd 등이있다. 이처럼다양한기능을제공하는데몬프로세스는실행과정에서데몬관련부모프로세스로부터자식프로세스가생성된후에부모프로세스는그대로종료되고자식프로세스는새로운세션을생성해서자신이리더가된후무한반복및실행과정을계속하면서해당서비스를제공하게된다. [ 그림 13] 은데몬프로세스의생성및실행구조를보인다. IV. 이벤트추출기반악성앱루팅공격탐지및대응기법 본연구에서는기존기법 [16,17,18] 과달리루트킷을이용한악성어플리케이션기반공격에능동적으로대응하기위해서리눅스기반의안드로이드커널에데몬프로세스 (Daemon Process) 를생성하여악성어플리케이션에의해서단말내에서생성되는서비스와프로세스정보를모니터링하고이벤트를추출및수집하여이를분석할수있는시스템을구현하였다. 구체적으로이벤트를추출하는데몬프로세스의구조를살펴보고단말내프로세스와서비스정보를수집해서악성이벤트를추출하는시스템에대한구현결과를제시하고자한다. 본연구에서설계및구현한어플리케이션을 PrintDaemon 이라고이름붙이고단말내에서구동되는악성어플리케이션에서발생하는이벤트를효율적으로모니터링하고이에능동적으로대응할수있는방법을제시하고자하였다. 4.1 단말내이벤트추출을위한데몬생성리눅스기반운영체제인안드로이드플랫폼에서데몬프로세스는해당커널시스템내에서백그라운드 [ 그림 13] 데몬프로세스구조데몬프로세스를생성하기위해서는크로스컴파일 (Cross Compile) 과정을수행하여생성할수있다. 크로스컴파일과정은호스트시스템과타겟시스템의환경이서로호환되지않을때서로의환경에맞도록컴파일하는것을의미한다. 즉, 안드로이드플랫폼에서해당데몬을적용하기위해 NDK 기반코딩및크로스컴파일과정을통해 ARM 프로세스환경에서구동될수있는데몬프로세스를생성하게된다. Sourcery G++ Lite을이용하여빌드플랫폼타겟이 GNU/Linux 인크로스컴파일러를설치한후에단말내이벤트에대한수집기능을제공하는 daemon.c 파일을생성하고이를크로스컴파일하게된다. 컴파일과정을통해생성된루트킷모듈 (background.png) 을안드로이드단말내폴더로삽입한다. 이제파일이저장된폴더에대한접근권한을변경한후에이를실행하면안드로이드단말에새로운데몬프로세스가커널내에추가적으로삽입되어실행된다. 이와같이리눅스커널내에서삽입된이벤

정보보호학회논문지 (2013. 6) 487 트분석데몬프로세스를이용하여단말내에서생성되는서비스및프로세스정보를획득할수있으며, 이를기반으로악성어플리케이션에의해발생하는루팅이벤트에대한분석이가능하다. 4.2 데몬기반이벤트추출및로깅시스템 본연구에서설계및구현한데몬프로세스를이용할경우안드로이드기반상용모바일단말내커널내부에서발생하는프로세스및서비스에대한확인및검색기능을이용할수있다.

기존방식 [18] 에대한수정을통해 DB 서버에는다수의단말에서발생한이벤트정보에대해서수집및저장하는기능을제공하도록하였다. 또한수집된이벤트정보에대한분석을통해각단말에대한루팅공격으로인해발생하는이벤트를검출할수있도록하였다.

로구성해서상위버전에서도작동할수있도록개발하였다. PrintDaemon 실행화면내에서 Send DB 버튼을클릭하면현재시점의프로세스정보를 DB로전송하고이를확인할수있으며각사용자단말별로생성된이벤트를확인할수있다. 또한각단말에서발생한이벤트에대한 PID, PPID 등에대한검색기능도제공하도록구현하였다.

java가있는 gen 폴더, Android SDK를포함한라이브러리파일, 바이너리를그대로보존하여사용할리소스가있는 assets 폴더, Image/layout/String을저장하는 res 폴더, Activity/Service/Permission 등에대한정의를하는 AndroidManifest.

9 정보보호학회논문지 ( ) 487 트분석데몬프로세스를이용하여단말내에서생성되는서비스및프로세스정보를획득할수있으며, 이를기반으로악성어플리케이션에의해발생하는루팅이벤트에대한분석이가능하다. 4.2 데몬기반이벤트추출및로깅시스템 본연구에서설계및구현한데몬프로세스를이용할경우안드로이드기반상용모바일단말내커널내부에서발생하는프로세스및서비스에대한확인및검색기능을이용할수있다. 기존에는악성앱을판단하거나단말내이상현상을모니터링하는기능을제공하는것이었으나, 본연구에서제시한 Print- Daemon 어플리케이션을실행할경우 [ 그림 14] 와같이커널내에이벤트모니터링데몬이백그라운드서비스로구동되면서커널내부에서발생하는이벤트정보 [15] 에대해로그형태로 DB 서버에전송하는구조이다. 기존방식 [18] 에대한수정을통해 DB 서버에는다수의단말에서발생한이벤트정보에대해서수집및저장하는기능을제공하도록하였다. 또한수집된이벤트정보에대한분석을통해각단말에대한루팅공격으로인해발생하는이벤트를검출할수있도록하였다. [ 그림 15] PrintDaemon 프로젝트구조및실행화면 PrintDaemon 프로그램을구동하면 [ 그림 16] 에서제시된형태와같이데몬프로세스에의해서단말내에서발생하는이벤트정보를수집하며 User, PID, PPID, Name 등으로검색하는기능을구현하였고, 서버와클라이언트는모두 Thread 로구성해서상위버전에서도작동할수있도록개발하였다. PrintDaemon 실행화면내에서 Send DB 버튼을클릭하면현재시점의프로세스정보를 DB로전송하고이를확인할수있으며각사용자단말별로생성된이벤트를확인할수있다. 또한각단말에서발생한이벤트에대한 PID, PPID 등에대한검색기능도제공하도록구현하였다. [ 그림 14] PrintDaemon 시스템구조 [ 그림 16] 프로세스정보전송 PrintDaemon의개발환경으로는 [ 그림 15] 와같이 Eclipse 를이용하였으며 Java 소스가있는디렉토리인 src 폴더와리소스파일및메모리번지로 mapping되는 R.java가있는 gen 폴더, Android SDK를포함한라이브러리파일, 바이너리를그대로보존하여사용할리소스가있는 assets 폴더, Image/layout/String을저장하는 res 폴더, Activity/Service/Permission 등에대한정의를하는 AndroidManifest.xml 파일로구성되어있다. Toggle 버튼을클릭했을때에는 DB 전송이활성화가되면서어플리케이션을종료하여도프로세스정보를계속서버 DB로전송하도록구현하였으며, 어플리케이션을다시실행했을경우실행여부에따라서버튼상태가켜짐이나꺼짐으로바뀌게된다. 구현한이벤트모니터링어플리케이션에서는 User, PID, PPID, Name 순으로메인화면에출력이되고 MySQL DB 내에는 User, PID, PPID, VSIZE, RSS, WCHAN, PC, NAME 순으로저장하도록하였다. 따라서 User, PID, PPID 및

488 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 Name을검색조건으로만일악성어플리케이션에서발생한이벤트정보를추출할수있도록구현하였다. 4.

본연구에서개발한 PrintDaemon 어플리케이션을실행할경우안드로이드기반의리눅스커널내데몬을실행하여주요프로세스의로그정보를확인할수있었다.

따라서본연구에서개발한데몬기반루팅공격이벤트모니터링방식을이용할경우백그라운드를통해단말내서비스및프로세스정보들을모니터링하기때문에루팅공격모듈에의해발생하는이벤트를탐지할수있는기능을제공할수있었다.

주요특징으로는 [ 그림 17] 과같이악성앱인경우루팅과정이수행되면서정상앱실행과정보다도많은루트권한관련이벤트가발생하는것을확인할수있었으며일부악성앱인경우에는 flush-179:0 프로세스와같이상용단말내 CPU

10 488 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 Name을검색조건으로만일악성어플리케이션에서발생한이벤트정보를추출할수있도록구현하였다. 4.3 데몬기반루팅공격이벤트검출이처럼안드로이드를기반으로한상용모바일단말의커널내부에서실행을할수있도록데몬방식으로구동되는모니터링어플리케이션을개발하여단말내이벤트발생정보를확인할수있었다. 본연구에서개발한 PrintDaemon 어플리케이션을실행할경우안드로이드기반의리눅스커널내데몬을실행하여주요프로세스의로그정보를확인할수있었다. 또한 User 와 PID, PPID, Name 중에선택을해서해당정보에관한로그들을정렬할수도있었다. 이러한기능들은앞에서살펴보았던 BinBreak 기반 Andoku 와같이루팅과정을수행한후에단말내금융정보를불법적으로유출하는앱뿐만아니라정상앱으로위장한수많은악성어플리케이션을사용자가다운받아설치하였을경우에발생하는공격이벤트에대한추출및수집기능을제공하게된다. 따라서본연구에서개발한데몬기반루팅공격이벤트모니터링방식을이용할경우백그라운드를통해단말내서비스및프로세스정보들을모니터링하기때문에루팅공격모듈에의해발생하는이벤트를탐지할수있는기능을제공할수있었다. 루팅공격이수행되면정상적인단말에서의이벤트발생형태와다른패턴으로프로세스가실행되는것을확인할수있었다. 본연구에서제시한기법을이용하여악성앱과정상앱에서발생하는 PID와 PPID 이 벤트특성을분석하였다. 주요특징으로는 [ 그림 17] 과같이악성앱인경우루팅과정이수행되면서정상앱실행과정보다도많은루트권한관련이벤트가발생하는것을확인할수있었으며일부악성앱인경우에는 flush-179:0 프로세스와같이상용단말내 CPU 이용을과도하게증가시키는이벤트가활성화되는것을확인할수있었다. 아래 [ 그림 18] 은서버에수집된이벤트정보를대상으로루팅공격을탐지한결과를나타낸다. 실험용악성앱을실행하여수집된 PID와 PPID 의활성화형태정보를모집단으로하여사용자가일반단말에서앱을실행할경우발생하는 PID/PPID 활성화유사도를측정하여상용단말에대한루팅수행여부를판별토록하였다. 본연구에서개발한기법을적용하여모바일단말에직접실험한결과는다음과같이루트킷이포함된악성앱이수행되었을경우이를탐지하는것을확인할수있었다. [ 그림 18] 상용단말에서의루팅공격탐지결과 V. 결론 [ 그림 17] 상용단말에서의이벤트획득결과 안드로이드기반상용모바일단말에대한공격형태와악성어플리케이션에대해살펴보고이에대한대응방안을제시하였다. 먼저, 알려진악성어플리케이션과불법적으로단말에대한관리자권한을획득하기위한루팅공격에대해살펴보았다. 상용모바일단말에대한보안취약성을분석하기위해루트킷을삽입한악성어플리케이션을실험용으로개발하여단

11 정보보호학회논문지 ( ) 489 말내저장된개인정보와인증서등의금융정보를외부로유출하는앱을실험용으로개발하여상용단말에대한보안취약성이존재하는것을확인할수있었다. 이에대한대응방안으로리눅스커널기반의안드로이드플랫폼에이벤트모니터링기능을제공하는데몬을생성하고이와연동하는 PrintDaemon 프로그램을이용하여단말내에서발생하는프로세스및서비스정보를수집하여백그라운드에서단말내악성어플리케이션의실행여부를판단할수있는어플리케이션을구현하였다. 이와같은데몬기반이벤트추출방식을통해악성코드가삽입된악성어플리케이션을다운받은후실행하였을경우사용자단말에대한악성코드및루팅공격여부를탐지할수있도록하였다. 향후과제로는상용단말에서수집된커널내이벤트정보에대한오탐율을최소화할수있는방법과함께공격탐지성능을보다높일수있는방법에대한연구가필요하여 PID와 PPID 이외에 strace 등을이용하여앱실행시발생하는커널내시스템이벤트에대한모니터링을통해루팅공격을탐지하는방법에대한연구가필요하다. 또한다수의단말에서발생하는이벤트정보에대한상관관계를분석하여보다빠르게상용모바일단말에대한공격여부를판단할수있는기법에대한연구가필요할것으로판단된다. 참고문헌 [1] Android rooting, /wiki/android_rooting [2] It s The Roots, get it?, [3] Rooting is it for me? Some Q&A, -some-qa [4] Android Root Source Code: Looking at the C-Skills, sight/2010/09/android-root-source-code -looking-at-the-c-skills/ [5] Egzthunder1, Root your Gingerbread Device With Gingerbreak, April 21, 2011, from android/ root-your-gingerbread-device -with-gingerbreak/ [6] Android Rooting for Programmers, dev-blog/255-android-rooting [7] Android Developer Web Site, Android.co m. (2009b, December 16). What is android?, Android Developer( android.com/guide/basics/what-is-android.html), [8] Jill Duffy, A Concise Guide to Android Rooting, pcmag ( /article2/0,2817, ,00.asp), [9] Harron Q. Raja, "How to Root Your Android Phone/Device?, ( [10] Derek Scott, "Rooting for Dummies : A Begineer's Guide to Rooting Your Android Device, ( com/rooting-for-dummies-a-beginnersguide-to-root-your-android-phone-or-ta blet-10915/), [11] How and What to Root your Android : 15 Worthwhile Apps, ( guide.com/us/root-your-android-phone,review-1688.html), [12] Malicious apps hosted in Google store turn Android phones into zombies 5/malicious-apps-hosted-in-google-mar ket-turn-android-phones-into-zombies/ [13] Google now scanning Android apps for malware, _ /google-now-scanningandroid-apps-for-malware/ [14] Felt, Adrienne Porte; Chin, Erika; Hanna, Steve; Song, Dawn; Wagner, David. Android Permissions Demystified.2012,http: // _permissions.pdf [15] Event monitoring, Wikipedia, wikipedia.org/wiki/event_monitoring [16] Liang Xie, Xinwen Zhang, Jean-Pierre Selfert, Sencun Zhu, pbmds: a behavior-based malware detection system for cellphone devices, Proceeding

490 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 of the third ACM conference on Wireless network security, pp. 37-48, ACM, 2010.

12 490 안드로이드기반모바일단말루팅공격에대한이벤트추출기반대응기법 of the third ACM conference on Wireless network security, pp , ACM, [17] Alexandre Bartel, Jacques Klein, Yves Le Traon, Martin Monperrus, Automatically Securing Permission-Based Software by Reducing the Attack Surface: An Application to Android, Technical Report, University of Luxembourg, SNT, [18] Won-Jun Jang, Sik-Whan Cho, Hyung- Woo Lee, Hong-il Ju, Jeong-Nyeo Kim, Rooting attack detection method on the Android-based smart phone, Proceeding of the International Conference on Computer Science and Network Technology, vol.1, no.1, pp , IEEE, [19] Martin Szydlowski, Manuel Egele, Christopjer Kruegel, Giovanni Vigna, Challenges for Dynamic Analysis of ios Applications, inetsec 2011, LNCS 7039, pp , 2012 < 저자소개 > 이형우 (Hyung-Woo Lee) 종신회원 1994 년 2 월 : 고려대학교컴퓨터학과졸업 1996 년 2 월 : 고려대학교컴퓨터학과석사 1999 년 2 월 : 고려대학교컴퓨터학과박사 1999 년 3 월 ~2003 년 2 월 : 백석대학교정보통신학부조교수 2003 년 3 월 ~ 현재 : 한신대학교컴퓨터공학부부교수, 정교수 < 관심분야 > 정보보호, 디지털포렌식스, 스마트폰보안

±èÇö¿í Ãâ·Â

±èÇö¿í Ãâ·Â Smartphone Technical Trends and Security Technologies The smartphone market is increasing very rapidly due to the customer needs and industry trends with wireless carriers, device manufacturers, OS venders,